{ "version": "2026-04-25", "updated": "2026-04-25", "curricula": [ { "id": "schwellenwerte", "title": "1 · Schwellenwerte", "short": "Welche Pflicht ab welcher MA-Zahl", "icon": "ruler", "color": "#0891b2", "description": "Die wichtigsten Schwellenwerte aus DSGVO, BetrVG, ArbSchG, AGG, GoBD, NIS-2 — gesammelt als KMU-Kompass.", "source_md": "01-schwellenwerte.md", "modules": [ { "id": "dsb-pflicht", "title": "DSB-Pflicht (§ 38 BDSG)", "objectives": [ "Die 20-Personen-Schwelle für regelmäßige Verarbeitung personenbezogener Daten benennen", "Pflicht-Auslöser unabhängig von MA-Zahl (Kerntätigkeit, Art. 9, Profiling) erkennen", "Externer vs. interner DSB — Vor-/Nachteile" ], "topics": ["§ 38 BDSG", "Datenschutzbeauftragter", "Kerntätigkeit", "Schwelle 20"], "difficulty": "einfach", "source_heading": "Wann muss ich einen DSB benennen?" }, { "id": "betriebsrat", "title": "Betriebsrat (§ 1 BetrVG)", "objectives": [ "5 wahlberechtigte Arbeitnehmer:innen als Schwelle nennen", "Mitbestimmungsrechte des Betriebsrats bei IT-Einführung (§ 87 Abs. 1 Nr. 6) erklären", "AI-Act-Hochrisiko-Anwendungen + Betriebsrat (Art. 22 DSGVO) verbinden" ], "topics": ["§ 1 BetrVG", "§ 87 BetrVG", "Mitbestimmung", "Schwelle 5"], "difficulty": "mittel", "source_heading": "Ab wann Betriebsrat?" }, { "id": "schwellenwerte-uebersicht", "title": "Übersicht aller MA-Schwellenwerte", "objectives": [ "Schwellenwerte 5/10/20/50/250 mit zugehöriger Pflicht zuordnen", "Mehrfach-Greifen erkennen (z.B. 50 MA: AGG + Schwerbehindertenquote + ArbSchG-Beauftragte)", "Vom Schwellenwert auf Folgepflichten kommen" ], "topics": ["Schwellen", "AGG", "SGB IX", "ArbSchG"], "difficulty": "schwer", "source_heading": "Schwellenwerte-Tabelle KMU" } ] }, { "id": "dsgvo-grundlagen", "title": "2 · DSGVO im KMU", "short": "Pflichten ohne Bullshit, Verweis auf Cora für Tiefe", "icon": "shield", "color": "#06b6d4", "description": "DSGVO-Mindestpflichten für Mittelstand. Cleo zeigt Pflicht + Risiko + Quick-Win; für tiefe DSB-Beratung verweise ich auf Cora.", "source_md": "02-dsgvo.md", "modules": [ { "id": "dsgvo-grundlagen", "title": "DSGVO-Mindestpflichten KMU", "objectives": [ "VVT (Art. 30), TOMs (Art. 32), DSFA (Art. 35), AVV (Art. 28) als Big Four nennen", "Welche Pflichten ohne DSB greifen", "Top-3-Bußgeld-Risiken im KMU-Alltag" ], "topics": ["VVT", "TOMs", "DSFA", "AVV", "Bußgeld"], "difficulty": "mittel", "source_heading": "DSGVO-Big-Four" }, { "id": "datenpannen", "title": "Datenpannen & Meldepflicht (Art. 33/34)", "objectives": [ "72-Stunden-Frist an Aufsichtsbehörde sicher anwenden", "Wann zusätzlich Betroffenen-Information (Art. 34) nötig", "Praxis: erstes Reaktions-Playbook im KMU" ], "topics": ["Art. 33", "Art. 34", "72h", "Meldepflicht"], "difficulty": "schwer", "source_heading": "Datenpannen" }, { "id": "auftragsverarbeitung", "title": "Auftragsverarbeitung & Drittland (Art. 28/44)", "objectives": [ "Wann brauche ich AVV, wann nicht", "Schrems-II-Folgen für US-Cloud praktisch erklären", "Verweis auf Cora für AVV-Templates" ], "topics": ["Art. 28", "Art. 44", "Schrems II", "AVV"], "difficulty": "schwer", "source_heading": "Auftragsverarbeitung & Drittland" } ] }, { "id": "ai-act", "title": "3 · AI-Act KMU", "short": "Risiko-Klassen, Pflichten, Termine — Cleo light, Kai für Tiefe", "icon": "cpu", "color": "#8b5cf6", "description": "AI-Act im KMU-Kontext. Cleo zeigt Risiko-Klassifikation + Termine; für KPIs/Methodik (Bias-Metriken, Doku-Anforderungen) verweise ich auf Kai.", "source_md": "03-ai-act.md", "modules": [ { "id": "ai-act", "title": "AI-Act-Risiko-Klassen", "objectives": [ "Verbotene/Hochrisiko/Begrenztes-Risiko/Minimal-Risiko abgrenzen", "Typische KMU-Hochrisiko-Anwendungen (HR-Recruiting, Bonitäts-Scoring) erkennen", "GPAI-Pflichten für Anwender (vs. Anbieter) trennen" ], "topics": ["Risiko-Klassen", "Hochrisiko", "GPAI", "Anwender"], "difficulty": "mittel", "source_heading": "AI-Act-Klassen" }, { "id": "ai-act-termine", "title": "AI-Act-Stufenplan (Daten 2025-2027)", "objectives": [ "Verbote seit 02.02.2025 in Kraft", "GPAI-Pflichten ab 02.08.2025", "Hochrisiko-Pflichten gestaffelt bis 02.08.2027" ], "topics": ["Termine", "Stufenplan", "Verbote", "Hochrisiko"], "difficulty": "mittel", "source_heading": "AI-Act-Stufenplan" } ] }, { "id": "nis2", "title": "4 · NIS-2 KMU", "short": "Wer betroffen ist, was zu tun ist, Status DE-Umsetzung", "icon": "network", "color": "#f97316", "description": "NIS-2-Richtlinie für KMU. Cleo zeigt Sektor-Betroffenheit + Pflichten-Liste; tiefere Risiko-Management-Beratung gibt der NIS-2-Spezialist (geplant).", "source_md": "04-nis2.md", "modules": [ { "id": "nis2", "title": "NIS-2 Sektor-Betroffenheit", "objectives": [ "Wesentliche/Wichtige Einrichtung unterscheiden", "Schwellenwerte 50/250 MA und Sektor-Mapping", "DE-Umsetzungsgesetz NIS2UmsuCG — Status 2026" ], "topics": ["NIS-2", "Sektoren", "Schwellen", "NIS2UmsuCG"], "difficulty": "schwer", "source_heading": "Wer ist betroffen?" }, { "id": "nis2-pflichten", "title": "NIS-2 Mindestpflichten", "objectives": [ "Risiko-Management-Maßnahmen (Art. 21)", "Meldepflichten 24h/72h/30d", "Geschäftsführungs-Haftung erkennen" ], "topics": ["Art. 21", "Meldepflicht", "Haftung"], "difficulty": "schwer", "source_heading": "Pflichten" } ] }, { "id": "gobd", "title": "5 · GoBD & Aufbewahrung", "short": "Steuerliche Aufbewahrung, Belegfunktion, Verfahrensdoku", "icon": "file", "color": "#10b981", "description": "GoBD-Pflichten für KMU — was die Buchhaltung muss, ohne dass das KMU einen Tax-Compliance-Manager braucht.", "source_md": "05-gobd.md", "modules": [ { "id": "gobd", "title": "GoBD-Mindestpflichten", "objectives": [ "Belegfunktion + Unveränderbarkeit verstehen", "Verfahrensdokumentation (Art und Umfang)", "10-Jahres-Aufbewahrung für Buchungsbelege" ], "topics": ["GoBD", "Belegfunktion", "Verfahrensdoku", "Aufbewahrung"], "difficulty": "mittel", "source_heading": "GoBD" } ] }, { "id": "arbeit", "title": "6 · Arbeit & Mitbestimmung", "short": "BetrVG, ArbSchG, AGG — die KMU-Pflichten", "icon": "users", "color": "#a855f7", "description": "Arbeitsrechtliche Compliance: Betriebsrat, Arbeitsschutz, AGG, Schwerbehindertenquote. Wo Cleo Lotse ist, wo ein Anwalt nötig wird.", "source_md": "06-arbeit.md", "modules": [ { "id": "arbschg", "title": "ArbSchG & Gefährdungsbeurteilung", "objectives": [ "Pflicht zur GBU für jeden AG ab 1 MA", "Psychische Belastung als Pflichtbestandteil", "Sicherheitsbeauftragte:r ab 21 MA" ], "topics": ["ArbSchG", "GBU", "psychische Belastung"], "difficulty": "mittel", "source_heading": "Arbeitsschutz" }, { "id": "agg", "title": "AGG & Diskriminierungsschutz", "objectives": [ "AGG-Pflichten ab erstem Mitarbeiter", "Beschwerdestelle (§ 13 AGG) aufbauen", "AI-Act-Hochrisiko + AGG bei Recruiting-Tools" ], "topics": ["AGG", "§ 13 AGG", "Beschwerdestelle", "Recruiting"], "difficulty": "mittel", "source_heading": "AGG" } ] } ] }